Tecnologia em palavras simples

Alerta de Malware Winos 4.0: Proteja Seu PC de Instaladores Falsos NSIS

Imagem em Destaque: Prevenir malware Winos 4.0 no Windows

A variante sorrateira do malware Winos 4.0 está usando instaladores NSIS enganosos para desencadear ataques em múltiplas etapas. Ele pode até ajustar a segurança baseada no Windows Defender para criar uma exceção, dando espaço para operar. Os resultados finais são roubo de dados, manipulação do registro e vigilância do PC. Confira nossas soluções verificadas para parar esse malware persistente em seu caminho.

Por Que o Malware Winos 4.0 é Perigoso

Winos 4.0 é uma família de malware sofisticada, originalmente derivada do Gh0st RAT. O “4.0” é apenas um nome, e não uma versão específica do malware. Ele está presente há mais de um ano. Em 22 de maio de 2025, a Rapid 7 anunciou uma variante do Winos 4.0 que está usando instaladores de VPN e navegador para injetar a carga.

O malware é liberado como uma reação em cadeia, começando com um aplicativo NSIS falso, que é um arquivo EXE corrompido. Os nomes dos instaladores são inocentes, como QQBrowser_Setup_x64.exe ou Lets.15.0.exe. O que torna esse malware perigoso são essas táticas de engano especializadas que muitos usuários não duvidarão.

Enquanto você instala o aplicativo desejado, ele solta arquivos extras, como um lançador VBScript, um carregador PowerShell, uma DLL maliciosa e arquivos de configuração. A Rapid7 deu um nome à carga em múltiplas etapas – Catena loader. Para persistência, um comando PowerShell silencioso adiciona exclusões para proteger a carga. Notavelmente, o malware Winos 4.0 pode ficar dormente por semanas, entrando em ação muito depois.

Em última análise, o malware Winos 4.0 captura senhas e detalhes de criptomoedas, realiza alterações no registro e monitora capturas de tela, webcam e microfone. Operando exclusivamente na memória, como vimos com o Remcos RAT, ele não deixa rastros em seu disco, evitando a detecção por antivírus.

Verifique as Assinaturas Digitais de Todos os Instaladores

Verificar as assinaturas digitais de qualquer aplicativo que você planeja instalar mantém seu PC seguro. Para isso, clique com o botão direito no aplicativo, vá para Propriedades -> Assinaturas Digitais. Clique em Detalhes -> Ver Certificado para verificar a autenticidade do instalador.

Verificando a Assinatura Digital para as Propriedades do arquivo instalador QQBrowser.

Aqui, estamos verificando a assinatura digital do QQBrowser, cujas variantes de malware com instaladores NSIS falsos estão disponíveis. Este, no entanto, tem uma assinatura válida genuína da Tencent Technology, a empresa por trás do QQBrowser.

Relacionado: verifique como verificar as assinaturas digitais em software Linux.

Ative as Proteções do Aplicativo de Segurança do Windows

Enquanto o malware Winos 4.0 engana o Windows Defender, existem certas etapas de segurança que você pode tomar dentro do aplicativo de Segurança do Windows.

Você pode impedir que instaladores NSIS sejam executados. Para isso, abra o PowerShell em modo administrador e execute o seguinte comando para reduzir a Área de Superfície de Ataque (ASR). Este é um comando excelente que não impõe uma proibição geral, mas apenas elimina os instaladores maliciosos.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Usando PowerShell para reduzir a

Em seguida, abra o aplicativo de Segurança do Windows. Vá para Proteção contra Vírus e Ameaças -> Configurações de Proteção contra Vírus e Ameaças -> Gerenciar Configurações. Verifique se a Proteção em Tempo Real está ativada.

Além disso, sob Proteção contra Vírus e Ameaças, role para baixo e selecione Gerenciar Proteção contra Ransomware. Se o Acesso Controlado a Pastas estiver desligado, ative-o novamente. Você pode ainda clicar em Permitir um Aplicativo Através do Acesso Controlado a Pastas para adicionar aplicativos confiáveis à lista de permissões.

Garantindo que o

Fazer essas proteções mínimas do Windows Security é suficiente. Usuários avançados do Windows também podem configurar o firewall para impedir o malware Winos 4.0.

Impedir que o Malware Winos 4.0 Adicione Exclusões ao Windows Defender

Uma maneira sorrateira que o malware Winos 4.0 se desenvolve no sistema é adicionando uma exclusão da verificação do Windows Defender. Você pode impedir isso com antecedência.

Abra o PowerShell em modo administrador. Use o seguinte comando para adicionar a política de execução para scripts ruins. Clique em A para confirmar.

Set-ExecutionPolicy-Scope CurrentUser -ExecutionPolicy Restricted

Política de execução restrita para impedir que aplicativos aleatórios façam alterações através de scripts PowerShell.

Você também pode impedir que todas as exclusões não autorizadas sejam executadas no PowerShell. Isso é feito usando o seguinte comando, que cobre todas as letras de unidade.

Remove-MpPreference -ExclusionPath C:\,D:\,E:\,F:\,G:\,H:\,I:\,J:\,K:\,L:\,M:\,N:\,O:\,P:\,Q:\,R:\,S:\,T:\,U:\,V:\,W:\,X:\,Y:\,Z:\

Impedindo exclusões não autorizadas para PowerShell para todas as letras de unidade.

Relacionado: Autoruns é usado no Windows para gerenciar muitas tarefas agendadas.

Use Autoruns para Detectar Entradas NSIS Falsas

Um programa da Microsoft chamado Autoruns pode ser usado para acompanhar programas de inicialização ruins, incluindo entradas NSIS falsas. Esta é uma das maneiras mais fáceis de pegar o malware Winos 4.0 e suas variantes antes que possam executar suas cargas.

Baixe o arquivo ZIP do Autoruns na página da Sysinternals. Nenhuma instalação é necessária. Basta descompactar o arquivo e clicar duas vezes no arquivo Autoruns64 (para sistemas Windows 64). Aqui, você obtém uma visão geral de todos os logons ativos, tarefas agendadas e processos. Você pode notar entradas sinalizadas em vermelho. Fique atento a quaisquer entradas relacionadas ao NSIS, que serão devidamente sinalizadas.

Usando

Raramente suspeitamos de instaladores de aplicativos legítimos do Windows. Uma vez que eles passam pelo SmartScreen (que você não deve desativar) e pelas verificações de Segurança do Windows, muitas vezes assumimos que o aplicativo é seguro, seja um VPN ou navegador. É aqui que os autores do malware Winos 4.0 encontraram fácil acesso.

É por isso que recomendamos verificar a credibilidade do seu instalador usando os métodos acima. Proteger sua janela do PowerShell contra execuções de scripts garante uma grande segurança. Você pode usar o VirusTotal e outros sites para escanear malware em pacotes de instaladores.

Conteúdo

  1. Por Que o Malware Winos 4.0 é Perigoso
  2. Verifique as Assinaturas Digitais de Todos os Instaladores
  3. Ative as Proteções do Aplicativo de Segurança do Windows
  4. Impedir que o Malware Winos 4.0 Adicione Exclusões ao Windows Defender
  5. Use Autoruns para Detectar Entradas NSIS Falsas
Painel do Ello

Ello: Explorando a Rede Social Privada

Bitdefender Não Instalando: 3 Soluções Fáceis que Você Pode Usar

Mais sobre as Soluções do Bitdefender

Google Descontinuando o Inbox e Dando a Ele Seis Meses de Vida

aspect-ratios-16x9

Entendendo as Proporções de Vídeo

Gerenciador de Arquivos com Etiquetas para Organizar seus Arquivos: Top 5

Corrigir wake on LAN não funcionando

Wake On LAN Não Funcionando no Windows [Resolvido]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS e Consoles no Mac

Google testa novo recurso do Chrome para elegibilidade de atualização para Windows 11